詳細設定

マルチファクター認証ページの画面右側にある詳細設定タブでは、パスワードのリセット、ADSelfService Plusへのログイン、エンドポイントのログインのMFAプロセスをより細かく制限できる重要な設定を行えます。

MFAのリセット/ロック解除タブ

  • パスワードのリセットおよびアカウントのロック解除におけるMFAプロセスのアイドル時間制限は次のとおりです __分: 本オプションでは、本人認証の制限時間を設定できます。例えば5分に設定した場合、エンドユーザーは5分以内に本人認証を完了する必要があります。
  • 部分的に登録されている場合、ユーザーによるパスワードのリセット/アカウントのロック解除の実行を拒否:本オプションでは、一部の本人認証を登録しているエンドユーザー(例 登録必須な認証数が4つで、実際に2つの認証を登録している など)に対して、パスワードのリセット/アカウントのロック解除の実施を制限できます。

ADSelfService PlusログインのMFA

  • パスワードなしのログインを有効にする:本オプションは、ユーザーはパスワードなしでアプリケーションとセルフサービス ポータルにアクセスできます。詳細は、こちらをご参照ください。
  • セキュリティ強化のため、パスワードレスのオプションが有効な場合このブラウザを信用するオプションは無効になります。 パスワードレスのログインが有効な場合、ログインごとにパスワード以外の認証が必要です。
  • 製品ログインのMFAプロセスのアイドル時間制限は次のとおりです __ 分:ユーザーによるMFA実施時間を設定できます。
  • デフォルトで「このブラウザを信用する」オプションを選択したままにします。:オプションを有効化後、デフォルトで、MFA検証画面の[このブラウザーを信頼する]にチェックが入った状態になります。
  • 次の期間後にブラウザの信用を失効させる ___ 分:信頼できるブラウザーを使用してADSelfService Plusへログイン時、指定時間内にMFAを実行するように求められません。信頼期間の長さは、日、時間、または分で指定できます。

クラウドアプリケーション用のMFA

  • パスワードなしのログインを有効にする:本オプションは、ユーザーはパスワードなしでアプリケーションとセルフサービス ポータルにアクセスできます。詳細は、こちらをご参照ください。
  • セキュリティ強化のため、パスワードレスのオプションが有効な場合このブラウザを信用するオプションは無効になります。 パスワードレスのログインが有効な場合、ログインごとにパスワード以外の認証が必要です。
  • クラウドアプリログインMFAプロセスのアイドル時間制限 __ 分:信頼できるブラウザーを使用してADSelfService Plusへログイン時、指定時間内にMFAを実行するように求められません。信頼期間の長さは、日、時間、または分で指定できます。
  • ADSelfService Plusサーバーがダウンしているか到達不能の場合、MFAをスキップします。:初めてログインするユーザーに対して、MFAの認証を強制せず、登録の催促を行います。
  • 次の期間後にブラウザの信頼を失効させる ___:ユーザーが信頼できるブラウザーを使用してADSelfService Plusにログイン時、指定時間内でのMFAは求められません。信頼期間として、日、時間、または分を指定できます。
  • デフォルトで「このブラウザを信頼する」オプションを選択したままにします。:オプションを有効化後、デフォルトで、MFA検証画面の[このブラウザーを信頼する]にチェックが入った状態になります。

エンドポイント用MFA

マシンログイン用のMFA

  • マシンログインMFAプロセスは、次の期間アイドル状態になる可能性があります __ 分:
  • ADSelfService Plusサーバーがダウンしているか到達不能の場合、MFAをスキップします。: 本オプションにより、ADSelfService Plusサーバーがダウンしているまたはアクセスできない場合に、MFAプロセス中にユーザーがログインできなくなる可能性があります。ただし、本オプションの有効化はMFAの高度なセキュリティレイヤーを放棄すること同等になるため、常時的な利用は推奨されません。このような状況を回避するには、オフラインMFAを推奨いたします。本設定は、次の場合には適用されません。
    • オフラインMFAを登録している場合、またはユーザーがマシンでオフラインMFAを有効化している場合
    • マシンベースのMFAが設定されている場合
  • 次の期間、マシンを信頼された状態に保つ ___:一度、マシンへのログイン時にMFAを使用した場合、以降のログイン時にMFA 認証をスキップできます。本オプションを有効化した場合、設定した指定期間のみ、ユーザーはマシンをロックおよびロック解除するたびにMFAプロセスを実行する必要がなくなります。
  • 「このマシンを信頼する」オプションをデフォルトで選択したままにします。:オプションを有効化後、デフォルトで、MFA検証画面の[このブラウザーを信頼する]にチェックが入った状態になります。
  • __ユーザーがMFAに登録されていない場合:本設定は、ユーザーがマシンログインMFAのいずれの認証にも登録していない場合の認証フローを決定します。管理者は、下記いずれかのフローを選択できます。
    • ログインを許可する:ユーザーは、MFAをバイパスしてアクセスすることが許可されます。
    • ログインを拒否する:ユーザーがアクセスを拒否されます。
    • 強制登録:
      • ユーザーは、プライマリ認証に成功時のみ、オンラインMFAおよびオフライン MFAの認証に登録を強制されます。
      • 本オプションは、WindowsおよびmacOSマシンのみに適用できます。ユーザーが登録されておらず、本オプションが選択されている場合、ユーザーはLinuxマシンへのアクセスを拒否されます。
  • 重要
    • 両方のMFAタイプに必要な認証はすべて考慮されるため、ユーザーがオンラインおよびオフラインの両方のMFAに必要な認証がすべて登録されていない場合、未登録と見なされます。または、これらの方法のいずれかに必要な少なくとも1つの認証を登録している場合、それらは部分的に登録されていると見なされます。
    • 本設定は、未登録ユーザーにのみ適用されます。部分的に登録されたユーザーは未登録とは見なされず、代わりに、登録された認証を使用してMFAを完了後、残りの認証登録が強制されます。
    • カスタム ハードウェアTOTPトークン、またはADセキュリティ質問など、ユーザー自身で登録できない認証が選択されている場合、管理者のみ登録できるため、[強制登録]が選択されている場合もアクセスが拒否されます。
    • マシンベースのMFAを設定している場合、本設定は上書きされ、いずれの認証にも未登録のユーザーはマシンへのアクセスを拒否され、部分的に登録されたユーザーは残りの必要な認証の登録を強制されます。
  • ユーザーによるオフラインMFAの実行を_ 日数/試行以降制限します:本設定を有効化した場合、オフラインMFAの試行は指定日数または試行回数で制限され、制限を超えた場合、ADSelfService Plusへ再接続する必要があります。
  • 注意点
    • 組織の要件に適した値を入力することを推奨しております。必要な値よりも低いしきい値を設定した場合、 ユーザーがマシンにアクセスできなくなる可能性があります。
    • セルフサービスポリシー、MFA設定、詳細設定、およびオフラインMFA登録に関する変更は、 オンラインMFAを完了時のみに登録ユーザーのマシンに反映されます。
    • 設定した制限は、特定ユーザーが特定のマシンでオンラインMFAを実行時にリセットされます。
  • オンライン認証が成功した後、オフライン MFA 用にユーザーのデバイスを自動的に登録します:本オプションを有効化した場合、ユーザーがマシンでオンライン MFA完了時、ユーザーに通知することなくオフラインMFAに自動登録されます。本オプションが無効な場合、ユーザーは自身のマシンをオフラインMFA に登録する、またはスキップするかを選択できます。

OWAログイン用のMFA

  • OWAログインMFAプロセスはアイドル状態になる可能性があります。 __ 分: 本オプションを有効化した場合、デフォルトで、MFA認証画面上の「このマシンを信頼する」ボックスにチェックが入った状態になります。
  • ADSelfService Plusサーバーがダウンしているか到達不能の場合、MFAをスキップします。:本オプションを有効化することで、ADSelfService Plusサーバーのダウン時またはADSelfService Plusサーバーへ到達不能な場合に、Outlook Web Access (OWA) またはExchange管理センターへアクセスできない状況を回避することができます。ただし有効化した場合、ADSelfService Plusサーバーのダウン時または到達不能な場合に、MFAの高度なセキュリティを使用できないため、長期的な有効化は推奨しておりません。
  • デフォルトで「このブラウザを信頼する」オプションを選択したままにします。:オプションを有効化後、デフォルトで、MFA検証画面の[このブラウザーを信頼する]にチェックが入った状態になります。
  • 次の期間後にブラウザの信頼を失効させる __ 分:一度、OWA へのログイン時にMFAを使用した場合、以降のログイン時にMFA 認証をスキップできます。本オプションを有効化した場合、設定した指定期間のみ、ユーザーはOWAまたはExchange 管理センターへログインするたびにMFAプロセスを実行する必要がなくなります。

VPNログイン用のMFA

  • VPN MFAセッションを次の期間有効なままにする __ 分:VPNログイン時の2要素認証の時間制限を設定できます。たとえば、2分に設定した場合、設定された認証方法にしたがって、ユーザーは2分以内にコードを入力するなどの認証を完了する必要があります。
  • VPNサーバーでRADIUS タイムアウト制限を設定可能な場合、この設定で設定するセッション時間制限より大きい値に設定してください。
  • ADSelfService Plusサーバーがダウンしているか到達不能の場合、MFAをスキップします:本オプションを有効化することで、ADSelfService Plusサーバーのダウン時またはADSelfService Plusサーバーへ到達不能な場合に、VPNログインできない状況を回避することができます。
  • ユーザーが登録されていない場合は、MFAをスキップして登録を続行:本オプションを有効化した場合、認証登録していないユーザーに対しMFAをスキップできます。

質問&回答設定タブ

  • 表示 __ 2つのセキュリティ問題からランダムに表示する:本オプションを有効化した場合、エンド ユーザーに表示する質問数を設定できます。質問は、「セキュリティ質問&回答」で設定されたセキュリティ質問のリストから、ADSelfService Plusによってランダムに選択されます。
  • 表示 __ 1つのセキュリティ問題からランダムに表示する:本オプションを有効化した場合、エンド ユーザーに表示する質問数を設定できます。質問は、ADセキュリティ質問で設定されたセキュリティ質問のリストから、ADSelfService Plusによってランダムに選択されます。
  • 質問を1つずつ順番に表示する:セキュリティの質問が1ページに1つずつ表示されます。
  • すべての質問を表示する:1ページにすべてのセキュリティ質問(秘密の質問)を表示します。
  • 大文字と小文字が区別されるため、セキュリティの質問に対する回答を確認します:回答の大文字/小文字を区別します。
  • 認証中にセキュリティ回答を非表示にします:デフォルトで、セキュリティ質問の回答が非表示になります。
  • 自身のユーザー名を回答に使用することを禁止する:ユーザー名を回答に含めることを禁止します。
  • 複数の質問への同じ回答の設定を禁止する:複数の質問に対して同じ回答を使いまわすことを禁止します。
  • 質問に含まれる単語を回答に使用することを禁止する:質問に含まれる単語の使用を禁止します。
  • ユーザーに半角英数字と記号の使用を強制する:回答に英数字および記号のみ使用可能に制限します。
  • 可逆的暗号化を使用して回答を保存する:セキュリティ質問の回答を平文としてADSelfService Plusデータベースに保存します。回答は、セキュリティ質問および回答レポートから表示できます。
  • 次を使用してセキュリティ返答を保存 ___ アルゴリズム:セキュリティ質問の回答を、MD5またはSHA-512アルゴリズムにより暗号化し保存します。

認証コードタブ

メール/モバイルの属性

  • 種類を選択のドロップダウンから任意の属性を選択します。
  • カスタム属性を追加にて、ユーザーのメール アドレスまたは携帯電話番号を含む新しい属性を追加します。

予備のメール/携帯電話番号

  • 次のメール ドメインのメール アドレス ___:本オプションを有効化した場合、特定のメールドメインをブロックまたは許可します。[ブロック]を選択した場合、ユーザーはリストされたドメイン以外の任意のドメインからメールアドレスを追加できるようになります。[許可]を選択した場合、ユーザーは信頼できるメール サービスプロバイダーのみを使用して確認コードを受け取ることができます。[許可]を選択後、このフィールドを空の状態で、任意のドメインを許可することができます。
  • (次の携帯電話番号の形式) ___:特定の携帯電話番号形式をブロックまたは許可します。[ブロック]を選択した場合、ユーザーはリストされている形式以外の任意の形式で携帯電話番号を追加できます。[許可]を選択した場合、ユーザーは構成された特定の形式でのみ携帯電話番号を入力するようになります。[許可]を選択後、このフィールドを空の状態で、任意の形式を許可することができます。
  • ユーザーにセカンダリのメールアドレスおよび携帯電話番号を登録させない場合は、次の設定を無効にします。
    • 許可/拒否:すべてのドメインを許可するには、このフィールドを空にします。 ___
    • 許可/拒否:すべての形式を許可するには、このフィールドを空にします。 ___
  • 施行を選択:ユーザーのセカンダリメールアドレスおよび予備の携帯電話番号を追加する設定では、次のオプションを任意に設定できます。
    • 個の登録を任意にする
    • ユーザーにメールアドレスの登録を強制する
    • ユーザーに携帯電話番号の登録を強制する
    • ユーザーにメールアドレスと携帯電話番号の登録を強制する

その他

  • 確認コードの長さを次のように設定します ___ 桁:確認コードの桁数を設定します。
  • 「メールアドレス/携帯番号」をメールおよび携帯のドロップダウンリストのデフォルト値として表示:デフォルトで、本人確認時にメール/モバイルのドロップダウンにて [メールID/モバイル番号の選択] が表示されます。
  • MFAページのメールID/携帯番号を一部非表示に:本人確認プロセス中にユーザーのメールアドレスおよび携帯電話番号を部分的に非表示にします。
  • 「メールアドレス/携帯番号を選択する」ステップをスキップし、認証コードを自動トリガーします:場合によっては、ユーザーが複数のメール アドレスまたは携帯電話番号で ADSelfService Plusに登録している可能性があります。デフォルトでは、確認コードの送信先のメール アドレスまたは携帯電話番号を選択するためのドロップダウンが製品上に表示されます。ただし、オプションがチェックされている場合、このドロップダウンは表示されず、コードはユーザーのプライマリメール アドレスに直接送信されます。これは、次の設定に依存します。

    • ユーザーに送信する本人確認メールの CC に管理者/マネージャーを含める:ユーザーに送信する確認コードメールのCCにユーザーの上司または管理者のメールアドレスを含めます。
      • 設定の横にあるチェックボックスをクリックします。
      • 管理者のメールアドレスを入力します。
      • 管理者を追加にて、ユーザーの管理者のメールアドレスを含めます。

    一般タブ

    • 次の事項においてCAPTCHAを非表示にする:MFA実行中にCAPTCHA(キャプチャ)を非表示にします、
    • MFAバックアップ検証コードを有効にする:本オプションを有効化した場合、バックアップ コードが生成され、エンドユーザーはバックアップコードを入力し、マシンまたはVPNへのログオン、ADSelfService Plusポータルへのログイン、またはセルフサービス実行中に本人確認を行うことができます。バックアップコードは、次の2つの方法で生成できます。

    バックアップコード

    • ユーザーによる:エンドユーザーポータルのADSelfService Plusでバックアップコードを生成できます。本オプションの利用時、合計で5つのコードが生成されます。各コードを複数回使用することはできません。
    • 管理者による:管理者はユーザーレポートを使用して、MFAを登録したユーザーのバックアップコードを生成できます。本オプションは、ユーザーが独自のバックアップ コードを生成しておらず、登録済みのMFAを使用できない場合に便利です。詳細はをご参照ください。
    注意点
    • ユーザーは、VPNログイン用MFAにRADIUSチャレンジ レスポンスベースの認証方法が使用されている場合にのみ、VPNログイン中にバックアップ コードを使用できます。
    • VPN用のMFAを利用時、生成されたバックアップコードを、VPNクライアントのワンタイムパスコード用に提供されたフィールドに入力できます。
    • バックアップコードを使用して本人確認を実行する場合、[このブラウザを信頼する]オプションおよび[このマシンを信頼する]オプションは考慮されません。
       概要